Russian hackers exploit Zimbra flaw in Ukrainian govt attacks

Espionnage informatique : APT28 cible les infrastructures ukrainiennes via Zimbra

Le groupe de hackers affilié au renseignement militaire russe APT28 exploite activement une vulnérabilité critique dans la suite logicielle Zimbra Collaboration Suite (ZCS) pour mener des cyberattaques contre des entités gouvernementales ukrainiennes, notamment l’Agence hydrographique d’État. Cette campagne, baptisée « Operation GhostMail », repose sur des emails de phishing sophistiqués dépourvus de pièces jointes ou de liens suspects, dissimulant le code malveillant directement dans le corps HTML des messages.

Points clés :

• Vecteur d’attaque : Un script JavaScript obfusqué s’exécute silencieusement dans le navigateur de la victime lors de l’ouverture de l’email, permettant l’exfiltration massive de données (identifiants, jetons de session, codes 2FA, mots de passe enregistrés et historique des emails sur 90 jours).
• Contexte : La CISA a ajouté cette faille à son catalogue des vulnérabilités exploitées dans la nature (KEV), ordonnant aux agences fédérales américaines de corriger leurs serveurs dans un délai strict de deux semaines.

Vulnérabilité :

• CVE-2025-66376 : Une faille de type Stored Cross-Site Scripting (XSS) pouvant mener à une exécution de code à distance (RCE) et à une compromission totale du compte et du serveur Zimbra.

Recommandations :

• Mise à jour immédiate : Appliquer sans délai les correctifs de sécurité fournis par Zimbra (ZCS 10.1.13 ou 10.0.18) pour fermer la brèche.
• Surveillance : Inspecter les logs des serveurs webmail à la recherche d’activités suspectes liées à l’exécution de scripts JavaScript inhabituels au sein des sessions utilisateurs.
• Application des directives : Suivre les protocoles de remédiation préconisés par les autorités de cybersécurité pour les systèmes exposés.

Source